အဓိကအကြောင်းအရာသို့ သွားမည်
x

PlugX Remote Access Trojan နှင့် ပတ်သက်၍ အထူးသတိပေး ကြေညာချက်

သမိုင်းကြောင်း

၁။ တရုတ်နိုင်ငံအခြေပြု ဟက်ကာအဖွဲ့ဖြစ်သော Mustang Panda သည် အာရှ-ပစိဖိတ်နိုင်ငံများကို PlugX Remote Access Trojan ဖြင့် ပစ်မှတ်ထားတိုက်ခိုက်လျက် ရှိရာ မြန်မာနိုင်ငံရှိ ကွန်ပျူတာအများစုတွင် PlugX Trojan ၏ တိုက်ခိုက်ခြင်း ခံရလျက်ရှိနေပါသည်။ ပုံ(၁)။

၁

ပုံ(၁)

PlugX ၏ အလုပ်လုပ်ပုံ

၂။ PlugX သည် Shortcut ဖိုင် (.lnk ဖိုင်) အနေဖြင့် အယောင်ဆောင်ထားခြင်း ဖြစ်ပြီး ၎င်း Shortcut ဖိုင်ကို ဖွင့်မိပါက C:\ProgramData\AAM UpdatesHtA\ Folder အောက်ရှိ AAM Updates.exe ဖိုင်ကို ဖွင့်မည်ဖြစ်ပါသည်။ AAM Updates.exe သည် Symantac ဆိုက်ဘာလုံခြုံရေးကုမ္ပဏီမှ sign လုပ်ထားသော Adobe CEF Helper ဖြစ်ပြီး ၎င်းဖိုင်မှ DLLHijacker ဖြစ်သော hex.dll ဖိုင်ကို ဖွင့်ကာ ၎င်းမှတဆင့် encrypted လုပ်ထားသော payload ဖြစ်သည့် adobeupdate.dat ကို ဖွင့်မည်ဖြစ်ပါသည်။ PlugX သည် တိုက်ခိုက်ခံရသော ကွန်ပျူတာမှ Microsoft Word ဖိုင်များ (.doc, .docx)၊ Microsoft Powerpoint ဖိုင်များ (.ppt, .pptx)၊ Microsoft Excel ဖိုင်များ (.xls, .xlsx) နှင့် Adobe Acrobat ဖိုင်များ (.pdf) တို့ကို ခိုးယူကာ ၎င်း၏ Command and Control Server (C2C) ဖြစ်သော 45.251.240.55 သို့ ဒေတာများကို ပေးပို့ခြင်း၊ C2C Server မှ တိုက်ခိုက်ခံရသော ကွန်ပျူတာအား ဝင်ရောက်ခြင်း (မိမိ၏ credential များ ခိုးယူခံရနိုင်ပါသည်)၊ Memory Stick များကို ကွန်ပျူတာထဲတွင် လာရောက်တပ်ဆင်ပါက RC4 Encryption ဖြင့်ဝှက်ထားသော ဖိုင်များကို Memory Stick ၏ RECYCLER.BIN Folder အောက်ရှိ CLSID နံပါတ်ပေးထားသော Folder အောက်တွင် လာရောက်သိမ်းဆည်းခြင်း၊ တိုက်ခိုက်ခံရသူ၏ ကွန်ပျူတာနှင့်ပတ်သက်သော အချက်အလက်များ၊ အသုံးပြုလျက်ရှိနေသော port များ၊ အလုပ်လုပ်နေသော services နှင့် ပရိုဂရမ်များကို မှတ်တမ်းတင်ခြင်းတို့ကို ပြုလုပ်ပါသည်။

PlugX Trojan တည်ရှိရာနေရာများ

၃။ PlugX Trojan အား အောက်ပါနေရာများတွင် Hidden ဖိုင်အနေဖြင့် တွေ့ရှိနိုင်ပါသည်။ ပုံ(၂၊ ၃၊ ၄၊ ၅)

(က) C:\ProgramData\AAM UpdatesHtA\

(ခ) C:\Users\[User Name]\ AAM UpdatesHtA\

(ဂ) [Stick's Logical Drive]\RECYCLER.BIN\

(ဃ) HKCU\Software\Microsoft\Windows\CurrentVersion\Run (Registry တွင် persistent အဖြစ် သတ်မှတ်ခြင်း)

၂

ပုံ(၂)

၃

ပုံ(၃)

၄

ပုံ(၄-က)

၄

ပုံ(၄-ခ)

၅

ပုံ(၅)

PlugX Trojan အားဖယ်ရှားခြင်းနှင့် ကုစားခြင်း

၄။ PlugX Trojan အား ဖယ်ရှားရန်အတွက် အပိုဒ် (၃- က/ခ/ဂ)ပါနေရာများအောက်ရှိ explorer.exe (သို့မဟုတ်) AAM Updates.exe (c70d8dce46b4551133ecc58aed84bf0e)၊ hex.dll (9d011c5386747b0dc0e7433e33cf733f) နှင့် adobeupdate.dat (70e8898810ac014a3820e6579519bee5) ဖိုင်တို့ကို ဖျက်ပစ်ရန် လိုအပ်ပါသည်။ အလားတူ Registry ထဲတွင် Logon အနေဖြင့် အလုပ်လုပ်ရန် သတ်မှတ်ထားသော AAM UpdatesHtA key အား ဖျက်ပစ်ရန် လိုအပ်ပါသည်။

၅။ တိုက်ခိုက်ခံထားရသူများအနေဖြင့် မိမိတို့၏ Memory Stick များကို စစ်ဆေးခြင်းဖြင့် မိမိတို့၏ပါရှိသွားသော ဒေတာများအား စစ်ဆေးခြင်း၊ Anit-virus ၏ virus definition ကို update လုပ်ခြင်း၊ မိမိတို့၏ logon credentials များကို ပြောင်းလဲပစ်ခြင်းများ ပြုလုပ်ရန်လိုအပ်သကဲ့သို့ Firewall Setting တွင် တိုက်ခိုက်သူများ၏ C&C Server ၏ လိပ်စာဖြစ်သော 45.251.240.55 အား block လုပ်ကြပါရန် အထူးသတိပေးကြေညာအပ်ပါသည်။

မြန်မာနိုင်ငံကွန်ပျူတာအရေးပေါ်တုံ့ပြန်ရေးအဖွဲ့